Como construir um processo GRC eficaz para Segurança e Acesso SAP?

Independente do segmento de negócio, é fato que todas as organizações de capital fechado ou aberto buscam estabelecer as melhores práticas de Governança, Gestão de Riscos e Conformidade (GRC) para os seus processos de negócios.

Considerado pilar base de controle GRC, o processo de gestão de acesso nas organizações é o que mais causa divergência por ser um processo que necessita o engajamento de múltiplas áreas, tais como: TI Segurança e Acesso, Governança, Controles Internos, Auditoria, Riscos e áreas de negócios.

PRINCIPAIS PROBLEMAS CONHECIDOS NO PROCESSO DE CONTROLE DE ACESSO E MONITORAMENTO DE RISCOS SODs NAS EMPRESAS

Necessidade um processo eficaz de Gestão de Acesso, sendo:

• Modelo de Governança e Gestão Corporativa dos Perfis (Negócio e TI) – On-going;
• Definição de Papeis e Responsabilidades;
• Adoção de plataforma sistêmica de GRC;
• Definição e publicação das politicas e normativos da organização;
• Outros.

PRINCIPAIS DEFINIÇÕES TÉCNICAS

• DONO DE PERFIL (ROLE OWNER), pessoa responsável por avaliar os riscos e aprovar solicitações de perfis que são de sua responsabilidade. Também é responsável por solicitar e aprovar ajustes nos perfis de acordo com os requisitos de negócios.
• DONO DE TRANSAÇÃO (TRANSACTION OWNER), pessoa responsável por avaliar os riscos e aprovar solicitações de transações que são de sua responsabilidade. Também é responsável por solicitar e aprovar ajustes nas transações de acordo com os requisitos de negócios.
• DONO DE RISCO (RISK OWNER), pessoa responsável por definir e determinar a melhor estrutura de risco capaz de identificar os riscos de acessos atribuídos aos usuários. Também recomenda e aprova ajustes na estrutura dos riscos SoDs de acordo com os requisitos de negócios.
• DONO DE CONTROLE (CONTROL OWNER), pessoa responsável por definir e determinar a melhor opção de controle compensatório capaz de reduzir ou eliminar os riscos de acessos atribuídos aos usuários. Também recomenda e aprova ajustes nos controles compensatórios de acordo com os requisitos de negócios.
• MONITOR DO RISCO (RISK MONITOR), pessoa responsável por monitorar e também receber as notificações de riscos violados e materializados. Necessita avaliar e determinar a causa raiz e evidenciar decisões que possam remeter a aceitação da violação e materialização do risco, ou a transferência do risco para outra pessoa.
• APROVADOR (APPROVER), pessoa responsável por aprovar as solicitações de acessos dos usuários de sua responsabilidade. Também deve avaliar os riscos em decorrência das solicitações de acessos em aprovação e dar ciência que reconhece a legitimidade do risco.
• USUÁRIO CHAVE (KEY USER), pessoa com conhecimento funcional do processo de negócio. Também atua como apoio na definição dos perfis de acessos e validação das restrições de acessos executando cenários de negócios com o propósito de validar que não há interferência (acesso de menos ou de mais) para realização das atividades transacionais de negócio. Solicita ajustes de perfis quando necessário de acordo com os requisitos de negócios.

A SAP incorporou em seus produtos o design moderno do SAP Fiori para que os usuários possam desfrutar uma experiência consistente do início ao fim. O SAP Fiori faz parte das soluções da plataforma SAP para Governança, Risco e Compliance (GRC) o qual inclui o SAP GRC Access Control (solução para gestão de acesso e monitoramento de Riscos SoDs). Com a utilização das interfaces SAP FIORI para GRC os processos de Gestão de Acesso e Monitoramento de Riscos SoDs aumentam sua aceitação por parte dos colaboradores em decorrência de um design apelativo e customizado à medida de cada tarefa.

Exemplos de apps FIORI para SAP GRC Access Control

Usuário final | Gestores | Administradores | Relatórios

EXEMPLO DE BOAS PRÁTICAS PARA PO PROCESSO DE CONTROLE DE ACESSO E
MONITORAMENTO DE RISCOS NAS EMPRESAS